Подпись hocc без gocardless не совпадает

Question

Подпись hocc без gocardless не совпадает

Я работаю с безголовыми хуками, и я застрял в проверке подписи hmac в среде песочницы.

Итак, я сгенерировал тест webhook в песочнице, и он выдает мне тело запроса и заголовки в том виде, в каком оно было отправлено.

Итак, насколько я понимаю, я должен получить тело запроса и сгенерировать хэш с секретным ключом, и сравнить его с хешем заголовка подписи webhook (не очень сложно) .

Поэтому я использую почтальон, чтобы воспроизвести его в моем локальном окружении, добавляя одинаковые заголовки и одно и то же тело, но подпись никогда не совпадает.

Вот что я попробовал:

 $signature = hash_hmac('sha256',$request->getContent(), 'secret');

Обратите внимание, что я использую фреймворк laravel, поэтому я сначала подумал, что фреймворк внутренне манипулирует запросом, поэтому я попробовал это:

 $request_data = file_get_contents('php://input');
 $signature = hash_hmac('sha256',$request_data, 'secret');

Но все равно не совпадает, я заметил много новых строк и, возможно, это может изменить результаты, поэтому я очистил его...

 $request_data = str_replace(array('.', ' ', "\n", "\t", "\r"), '', $request_data);

Но все еще не совпадает, а также я попытался привести данные тела в utf8, и заставить hmac возвращать raw и кодировать его в base64 ... но безуспешно.

Так что тут не так? Может быть, подписи не работают в среде песочницы? Кто-нибудь имел дело с этим?

Заранее спасибо!

1

php sandbox signature hmac gocardless

Источник

user5058092 31 июл '16 в 12:53

2 ответа

Другие вопросы по тегам php sandbox signature hmac gocardless

user5058092 31 июл '16 в 13:12 2016-07-31 13:12 · Answer 1 · 2016-07-31 13:12

Наконец-то я обнаружил проблему: на панели песочницы в goocardless они показывают, что запрос не обработан, поэтому длина другая, просто уменьшите его, и вы сможете протестировать! а теперь подписи совпадений!

2

Источник

user5058092 31 июл '16 в 13:12

user147844 16 сен '16 в 14:42 2016-09-16 14:42 · Answer 2 · 2016-09-16 14:42

Мы обновили нашу документацию для разработчиков, и вы можете найти пример проверки подписи веб-крюка по адресу https://developer.gocardless.com/getting-started/api/staying-up-to-date-with-webhooks/?lang=php

Вы хотите сделать что-то вроде

<?php
// We recommend storing your webhook endpoint secret in an environment variable
// for security, but you could include it as a string directly in your code
$token = getenv("GC_WEBHOOK_SECRET");

$raw_payload = file_get_contents('php://input');

$headers = getallheaders();
$provided_signature = $headers["Webhook-Signature"];

$calculated_signature = hash_hmac("sha256", $raw_payload, $token);

if ($provided_signature == $calculated_signature) {
  // Process the events

  header("HTTP/1.1 200 OK");
} else {
  header("HTTP/1.1 498 Invalid Token");
}